[[399394]]

安全事件

5月9日，美國交通部發布一份“區域緊急狀態聲明”，美國最大燃油管道運營商Colonial Pipeline因受勒索軟件攻擊，被迫臨時關閉其美國東部沿海各州供油的關鍵燃油網絡。此次勒索攻擊使美國三個區域受到了斷油的影響，共涉及17個州。這是美國首次因網絡攻擊事件而進入國家緊急狀態，這次事件也敲響了關鍵基礎設施網絡安全的警鐘。

起因探尋

5月7日，美國最大燃油管道商Colonial Pipeline遭到網絡勒索軟件攻擊。

之后，Colonial Pipeline發表聲明、已經對關鍵系統作了斷網處理，關閉所有的管道作業及部分的IT系統，以避免勒索軟件的感染范圍持續蔓延，并聘請第三方專家來調查此次事件牽涉的范圍，同時知會相關機關請求幫助。

5月10日，黑客組織DarkSide在其官網發布聲明，承認攻擊了Colonial Pipeline。據BBC進一步的報道，DarkSide不僅滲透了Colonial Pipeline網絡、加密了系統檔案，還下載了近100GB的資料作為威脅。

DarkSide是一個新的組織，但是它在勒索業務上早已輕車熟路。去年8月，DarkSide發布了勒索軟件Ransomware。該軟件不僅勒索了大筆的贖金，還通過設置外泄資料系統向受害者展示所竊取的資料，造成受害者的恐慌。

類似的事件

近年來，針對關鍵基礎設施的勒索攻擊層出不窮，勒索金額越發龐大，造成的危害日益嚴重，影響更為廣泛深遠。

2020年4月，葡萄牙跨國能源公司EDP遭到勒索軟件攻擊。EDP集團是歐洲能源行業(天然氣和電力)最大的運營商之一，也是世界第四大風能生產商，在全球四個大洲的19個國家/地區擁有業務。勒索軟件的攻擊者聲稱，已獲取EDP公司10TB的敏感數據文件，向EDP公司索要了約1090萬美元。

此外，2020年七月中旬，阿根廷電信被REvil勒索750萬美元贖金，REvil短短一周內便感染超過18000臺計算機，REvil稱如果阿根廷電信公司三天內不支付贖金，價格便會翻倍。

有報告稱：“勒索軟件攻擊者明白被攻擊后的時間對于企業來說有多寶貴，他們一直在想辦法讓勒索攻擊的獲利最大化。”在未來很長一段時間內，勒索病毒仍會是企業安全的頭號敵人。

勒索病毒具有極強的隱蔽性。攻擊者很多都是利用未知漏洞、自定義工具、或者社工、釣魚等方式獲取系統管理員賬號和權限，憑借合法身份、正常操作實施入侵，使得傳統的安全防御手段失效，企業無法及時發現并有效應對威脅。目前，該攻擊具有以下特點：

(1) 攻擊對象精準化

攻擊對象可定位到具體的政府、企業和個人，控制的數據對象從普通的用戶數據、計算機文件到與稅務、金融相關的文件。

(2) 感染方式多樣化

勒索軟件主要利用操作系統、智能終端系統的固有漏洞或計算機設備后門等為通道，進行大范圍感染傳播。

(3) 勒索模式服務化

勒索軟件的使用者由最初的編寫者變為如今的第三方，即開發者為第三方提供勒索軟件，后者支付一定費用或者將勒索所得的一部分返回來變現。現在這種勒索軟件 DIY 套件在地下黑市和論壇中隨處可見，所以即使不懂技術的犯罪分子也可以使用勒索軟件進行網絡勒索。

針對勒索軟件的攻擊我們能做什么

勒索病毒的攻擊雖然強勢，然而并不是攻無不克。面對勒索軟件，企業需要強化互聯網內部環境，向整體化防御和智能化響應轉變，實現“安全防御-監測預警-威脅感知-聯動處置”的安全運營閉環。以下是一些參考建議：

(1) 加強網絡邊界防護力度

深度聚合零信任框架，在互聯網環境內部署身份認證管理系統，對所有訪問請求進行持續性加密、認證和強制授權，實現基于身份的動態管控，提升安全防護，由被動防御轉為主動防御。

(2) 采用基于行為的攻擊檢測解決方案

采用部署蜜罐等基于行為的攻擊檢測解決方案，通過在內外網中一鍵署高仿真蜜標、蜜罐和自定義蜜網，實時監測惡意代碼、APT等網絡攻擊，及時感知勒索病毒的入侵、擴散、執行等各個環節，并及時告警，不斷地提升網絡邊界的防護功能;

(3) 建立應急機制建設

企業需建設緊急事件的防范和處置體系，定期開展預案演練，推進突發事件預測預警、信息報告、應急響應、應急處置和調查評估機制的實戰能力。在系統上建立威脅情報，依托于大數據分析和機器學習技術對攻擊行為進行關聯分析，聯動用戶的其他安全設備對攻擊者進行聯動阻斷，形成協同的安全監控響應一體防御方案，防止勒索軟件的擴散。

(4) 建設專業安全服務團隊，強化網絡安全人才隊伍建設

建設一支專業化安全服務團隊，面向企業領導、相關部門主要負責人和企業員工，定期組織開展網絡安全防護培訓，提高全員網絡安全防范意識。